Update (27.12.16 / 04:50)

Das Joomla Entwicklerteam hat für „einfache“ Joomla Installationen Entwarnung gegeben. Durch weitere Mechanismen wird verhindert, dass die Lücke effektiv ausgenutzt werden kann. Allerdings ist dies keine generelle Entwarnung, da Joomla Erweiterungen, welche nicht korrekt die Joomla API nutzen oder ihre eigene Version vom verwundbaren PHPMailer mitbringen weiterhin angreifbar sind. Joomla liefert die betroffene PHPMailer Bibliothek in Joomla 1.6.0 bis 3.6.5 aus.

——

In PHPMailer einschließlich Version 5.2.17 existiert eine kritische Sicherheitslücke, welche die Kennung CVE-2016-10033 erhalten hat.

PHPMailer ist eine Bibliothek, welche häufig zum Versand von E-Mails in einigen bekannten Webanwendungen verwendet wird. Hierzu zählt auch Joomla in der aktuellen Version 3.6.5, welches PHPMailer 5.2.16 einsetzt.

Die aktuelle Version von PHPMailer (derzeit v5.2.19) kann auf Github bezogen werden. Falls Sie die Dateien manuell austauschen möchten, erstellen Sie in jeden Fall ein Backup und prüfen Sie ob diese Version kompatibel mit Ihrer Webanwendung ist.

Für Joomla 3.6.5 haben wir ein inoffizielles Sicherheitsupdate erstellt, welche nur die in der Version 3.6.5 enthaltenen Dateien der Bibliothek enthält. Dieses Update muss entpackt werden und der darin enthaltene Ordner „phpmailer“ manuell (z.B. via FTP oder SSH) in den Ordner:

Joomla-Installationsort/libraries/vendor/phpmailer

hochgeladen werden. Beachten Sie bitte, dass in diesem Ordner ein weiterer Ordner, ebenfalls mit dem Namen „phpmailer“ vorhanden sein sollte. Dies ist der Ordner, welchen es zu überschreiben gilt. Vorhandene Dateien müssen dabei ersetzt werden.

Download: Inoffizielles PHPMailer 5.2.19 Sicherheitsupdate für Joomla 3.6.5
(MD5: fd204c92859312175ecfc7a37bf320f2)

Die Installation erfolgt auf eigenes Risiko und ist nur als Überbrückung bis zur Veröffentlichung des offiziellen Update gedacht. Wir hoffen, dass dieses in wenigen Stunden verfügbar ist.

Sie sollten mit dem Austausch von Dateien auf Ihrem Webserver vertraut sein. Wir empfehlen das offizielle Joomla Update einzuspielen sobald es verfügbar ist. Auf unseren betriebenen Joomla 3.6.5 Installationen konnten wir in der Kürze keine Einschränkungen nach der Installation feststellen. Dies stellt jedoch keine allgemeingültige Garantie dar und Sie sollten in jedem Fall Backups anlegen.

Hinweise für WordPress-Installationen:

In WordPress ist die verwundbare Datei „class.phpmailer.php“ im Ordner „/wp-includes“ unter dem Dateinamen „class-phpmailer.php“ zu finden. Bitte vor dem manuellen Austausch beachten und die Datei vor dem Upload entsprechend umbenennen.

News Quelle: Golem.de

The post Inoffizielles PHPMailer Sicherheitsupdate für Joomla 3.6.5 appeared first on Deutsche Internetagentur Blog.